Podatność CVE-2012-6636


Publikacja: 2014-03-02   Modyfikacja: 2014-03-03

Opis:
The Android API before 17 does not properly restrict the WebView.addJavascriptInterface method, which allows remote attackers to execute arbitrary methods of Java objects by using the Java Reflection API within crafted JavaScript code that is loaded into the WebView component in an application targeted to API level 16 or earlier, a related issue to CVE-2013-4710.

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.8/10
6.4/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Google -> Android api 

 Referencje:
https://support.lenovo.com/us/en/product_security/len_6421
http://www.internetsociety.org/ndss2014/programme#session3
http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf
http://openwall.com/lists/oss-security/2014/02/07/9
http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface%28java.lang.Object,%20java.lang.String%29
http://developer.android.com/reference/android/os/Build.VERSION_CODES.html#JELLY_BEAN_MR1
http://50.56.33.56/blog/?p=314

Copyright 2024, cxsecurity.com

 

Back to Top